代码安全审查

低风险

作者 @sickn33已验证来源

4.1537 次安装v1.0.0更新于 2026年5月25日

使用方式

在 Claude Code 中运行以下命令

第一步：添加 Marketplace

/plugin marketplace add sickn33/antigravity-awesome-skills

第二步：安装插件

/plugin install antigravity-awesome-skills@antigravity-awesome-skills

关于

确保所有代码遵循安全最佳实践并识别潜在漏洞的 Skill。在代码审查或安全评估时使用。

name: cc-skill-security-review description: "此技能确保所有代码遵循安全最佳实践并识别潜在漏洞。在实现认证或授权、处理用户输入或文件上传、或创建新 API 端点时使用。" risk: unknown source: community date_added: "2026-02-27"

安全审查技能

此技能确保所有代码遵循安全最佳实践并识别潜在漏洞。

何时使用

实现认证或授权
处理用户输入或文件上传
创建新 API 端点
处理密钥或凭据
实现支付功能
存储或传输敏感数据
集成第三方 API

安全检查清单

1. 密钥管理

绝不这样做

const apiKey = "sk-proj-xxxxx"  // Hardcoded secret
const dbPassword = "password123" // In source code

始终这样做

const apiKey = process.env.OPENAI_API_KEY
const dbUrl = process.env.DATABASE_URL

// Verify secrets exist
if (!apiKey) {
  throw new Error('OPENAI_API_KEY not configured')
}

验证步骤

[ ] 无硬编码 API 密钥、令牌或密码
[ ] 所有密钥在环境变量中
[ ] .env.local 在 .gitignore 中
[ ] git 历史中无密钥
[ ] 生产密钥在托管平台中（Vercel、Railway）

2. 输入验证

始终验证用户输入

import { z } from 'zod'

// Define validation schema
const CreateUserSchema = z.object({
  email: z.string().email(),
  name: z.string().min(1).max(100),
  age: z.number().int().min(0).max(150)
})

// Validate before processing
export async function createUser(input: unknown) {
  try {
    const validated = CreateUserSchema.parse(input)
    return await db.users.create(validated)
  } catch (error) {
    if (error instanceof z.ZodError) {
      return { success: false, errors: error.errors }
    }
    throw error
  }
}

文件上传验证

function validateFileUpload(file: File) {
  // Size check (5MB max)
  const maxSize = 5 * 1024 * 1024
  if (file.size > maxSize) {
    throw new Error('File too large (max 5MB)')
  }

  // Type check
  const allowedTypes = ['image/jpeg', 'image/png', 'image/gif']
  if (!allowedTypes.includes(file.type)) {
    throw new Error('Invalid file type')
  }

  // Extension check
  const allowedExtensions = ['.jpg', '.jpeg', '.png', '.gif']
  const extension = file.name.toLowerCase().match(/\.[^.]+$/)?.[0]
  if (!extension || !allowedExtensions.includes(extension)) {
    throw new Error('Invalid file extension')
  }

  return true
}

验证步骤

[ ] 所有用户输入使用 schema 验证
[ ] 文件上传受限（大小、类型、扩展名）
[ ] 不直接在查询中使用用户输入
[ ] 白名单验证（非黑名单）
[ ] 错误消息不泄露敏感信息

3. SQL 注入防护

绝不拼接 SQL

// DANGEROUS - SQL Injection vulnerability
const query = \`SELECT * FROM users WHERE email = '${userEmail}'\`
await db.query(query)

始终使用参数化查询

// Safe - parameterized query
const { data } = await supabase
  .from('users')
  .select('*')
  .eq('email', userEmail)

// Or with raw SQL
await db.query(
  'SELECT * FROM users WHERE email = $1',
  [userEmail]
)

验证步骤

[ ] 所有数据库查询使用参数化查询
[ ] 无字符串拼接构建 SQL

兼容工具

Claude CodeCursor

代码安全审查

关于

name: cc-skill-security-review description: "此技能确保所有代码遵循安全最佳实践并识别潜在漏洞。在实现认证或授权、处理用户输入或文件上传、或创建新 API 端点时使用。" risk: unknown source: community date_added: "2026-02-27"

安全审查技能

何时使用

安全检查清单

1. 密钥管理

绝不这样做

始终这样做

验证步骤

2. 输入验证

始终验证用户输入

文件上传验证

验证步骤

3. SQL 注入防护

绝不拼接 SQL

始终使用参数化查询

验证步骤

兼容工具

标签

相关推荐

Python 数据库模式

Snowflake 开发

Drizzle ORM 专家

数据工程流水线

Python Scikit-learn

Azure MySQL .NET SDK